无线/移动 : "无线, LAN (WLAN)"

WPA/WPA2的配置与预先共享密钥的:IOS 15.2JB和以后

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈

简介

本文描述无线受保护的访问的(WPA)一与预先共享密钥(PSK)的配置示例和WPA2。

贡献用Ishaan Sanji, Cisco TAC工程师。

先决条件

要求

Cisco 建议您了解以下主题:

  • 与GUI的熟悉或Cisco IOS软件的命令行界面(CLI)
  • 与PSK、WPA和WPA2的概念的熟悉

使用的组件

运行Cisco IOS软件版本15.2JB的本文档中的信息根据Cisco Aironet 1260接入点(AP)。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

配置

与GUI的配置

此步骤描述如何配置WPA和WPA2与一PSK在Cisco IOS软件GUI :

  1. 设置为服务集标识(SSID)定义的VLAN的加密管理器。导航给安全>加密管理器,保证密码器启用和挑选AES CCMP + TKIP作为将用于两Ssid密码器。

    116599-config-wpa-psk-01.png

  2. 启用与在步骤定义的加密参数的正确VLAN 1.导航给安全> SSID管理器,并且选择从当前SSID列表的SSID。此步骤为WPA和WPA2配置是普通。

    116599-config-wpa-psk-02.png

  3. 在SSID页,设置密钥管理对必须,并且检查Enable (event) WPA复选框。选择从下拉列表的WPA为了启用WPA。输入WPA预先共享密钥。

    116599-config-wpa-psk-03.png

  4. 选择从下拉列表的WPA2为了启用WPA2。

    116599-config-wpa-psk-04.png

与CLI的配置

注意

使用命令查找工具仅限注册用户)可获取有关本部分所使用命令的详细信息。

命令输出解释程序工具仅限注册用户)支持某些 show 命令。请使用Output Interpreter Tool为了查看show命令输出分析。

这是在CLI内被执行的相同的配置:

sh run
Building configuration...Current configuration : 5284 bytes
!
! Last configuration change at 04:40:45 UTC Thu Mar 11 1993
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ish_1262_1_st
!
!
logging rate-limit console 9
enable secret 5 $1$Iykv$1tUkNYeB6omK41S18lTbQ1
!
no aaa new-model
ip cef
ip domain name cisco.com
!
!
!
dot11 syslog
!
dot11 ssid wpa
vlan 6
authentication open
authentication key-management wpa
mbssid guest-mode
wpa-psk ascii 7 060506324F41584B56
!
dot11 ssid wpa2
vlan 7
authentication open
authentication key-management wpa version 2
wpa-psk ascii 7 110A1016141D5A5E57
!
bridge irb
!
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption vlan 6 mode ciphers aes-ccm tkip
!
encryption vlan 7 mode ciphers aes-ccm tkip
!
ssid wpa
!
ssid wpa2
!
antenna gain 0
mbssid
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Dot11Radio0.6
encapsulation dot1Q 6
no ip route-cache
bridge-group 6
bridge-group 6 subscriber-loop-control
bridge-group 6 spanning-disabled
bridge-group 6 block-unknown-source
no bridge-group 6 source-learning
no bridge-group 6 unicast-flooding
!
interface Dot11Radio0.7
encapsulation dot1Q 7
no ip route-cache
bridge-group 7
bridge-group 7 subscriber-loop-control
bridge-group 7 spanning-disabled
bridge-group 7 block-unknown-source
no bridge-group 7 source-learning
no bridge-group 7 unicast-flooding
!
interface Dot11Radio1
no ip address
no ip route-cache
!
encryption vlan 6 mode ciphers aes-ccm tkip
!
encryption vlan 7 mode ciphers aes-ccm tkip
!
ssid wpa
!
ssid wpa2
!
antenna gain 0
no dfs band block
mbssid
channel dfs
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Dot11Radio1.6
encapsulation dot1Q 6
no ip route-cache
bridge-group 6
bridge-group 6 subscriber-loop-control
bridge-group 6 spanning-disabled
bridge-group 6 block-unknown-source
no bridge-group 6 source-learning
no bridge-group 6 unicast-flooding
!
interface Dot11Radio1.7
encapsulation dot1Q 7
no ip route-cache
bridge-group 7
bridge-group 7 subscriber-loop-control
bridge-group 7 spanning-disabled
bridge-group 7 block-unknown-source
no bridge-group 7 source-learning
no bridge-group 7 unicast-flooding
!
interface GigabitEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
no keepalive
bridge-group 1
bridge-group 1 spanning-disabled
no bridge-group 1 source-learning
!
interface GigabitEthernet0.6
encapsulation dot1Q 6
no ip route-cache
bridge-group 6
bridge-group 6 spanning-disabled
no bridge-group 6 source-learning
!
interface GigabitEthernet0.7
encapsulation dot1Q 7
no ip route-cache
bridge-group 7
bridge-group 7 spanning-disabled
no bridge-group 7 source-learning
!
interface BVI1
ip address 10.105.132.172 255.255.255.128
no ip route-cache
!
ip forward-protocol nd
ip http server
ip http secure-server

验证

为了确认配置适当地工作,请导航给关联,并且验证客户端连接:

116599-config-wpa-psk-05.png

您能也验证CLI的客户端关联与此系统消息:

*Mar 11 05:39:11.962: %DOT11-6-ASSOC: Interface Dot11Radio0, Station 
ish_1262_1_st 2477.0334.0c40 Associated KEY_MGMT[WPAv2 PSK]

故障排除

注意:使用 debug 命令之前,请参阅有关 Debug 命令的重要信息

请使用这些调试指令为了排除故障连通性问题:

  • 调试dot11 aaa管理器密钥-此调试显示发生在AP和客户端之间作为成对地临时密钥的握手(PTK),并且组临时密钥(GTK)协商。
  • 调试dot11 aaa验证器状态机-此调试显示客户端通过协商的多种状态,当客户端联合并且验证。状态名称即可表示各种状态。
  • 调试dot11 aaa验证器进程-此调试帮助您诊断与经过协商的通信的问题。其详细信息显示了每个协商参与者所发送的内容,并显示了其他参与者的响应。您也可以将该 debug 命令与 debug radius authentication 命令结合使用。
  • 调试dot11站点连接失败-此调试帮助您确定客户端是否失败连接并且帮助您确定失败的原因。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


Document ID: 116599